17. August 2016

Die neue Euro­päi­sche Daten­schutz-Grund­ver­ord­nung

Am 15.12.2015 hat der EU-Trilog eine Eini­gung auf die endgül­tige Version einer künf­tigen EU-Daten­schutz-GVO erzielt.

Euro­päi­scher Rat, Euro­päi­sches Parla­ment und Euro­päi­sche Kommis­sion haben sich über den endgül­tigen Inhalt der neuen EU-Daten­schutz-Grund­ver­ord­nung geei­nigt. Diese soll Anfang 2018 in Kraft treten und die bereits seit 1995 geltende EU-Daten­schutz­richt­linie ersetzen.

Einheit­li­cher Daten­schutz in Europa durch EU-Daten­schutz-Grund­ver­ord­nung

Ziel der neuen EU-Daten­schutz-Grund­ver­ord­nung ist eine Verein­heit­li­chung des Daten­schutz­rechts inner­halb Europas. Dadurch soll der Einzelne mehr Kontrolle über seine Daten erhalten. Insbe­son­dere soll ein gerechter Ausgleich zwischen dem allge­meinen freien Daten­ver­kehr und dem indi­vi­du­ellen Schutz perso­nen­be­zo­gener Daten inner­halb der Union gewähr­leistet werden.

Die Daten­schutz-Grund­ver­ord­nung wird der Syste­matik des Bundes­da­ten­schutz­ge­setzes (BDSG) ähnlich sein. Grund­sätz­lich wird der Umgang mit perso­nen­be­zo­genen Daten unter­sagt sein, außer die Daten­schutz-Grund­ver­ord­nung, eine andere gesetz­liche Grund­lage oder eine Einwil­li­gung des Betrof­fenen erlauben dies. Folge­richtig werden zukünftig in allen EU-Staaten die glei­chen Stan­dards beim Daten­schutz gelten. Insbe­son­dere sollen Nutzer leich­teren Zugang zu ihren Daten haben. Zudem wird der Nutzer Anspruch auf klare und leicht verständ­liche Infor­ma­tionen darüber haben, wer seine Daten zu welchem Zweck wie und wo verar­beitet.

Nach einer Pres­se­mit­tei­lung des Euro­päi­schen Parla­ments bestehen die wich­tigsten Ände­rungen in folgenden Punkten:

  • Verar­bei­tung der Daten nur nach ausdrück­li­cher Einwil­li­gung: Der Nutzer soll Herr seiner Daten werden. Er soll seine Einwil­li­gung auch leicht wieder zurück­ziehen können dürfen.
  • Kinder und soziale Medien: Kinder unter einem bestimmten Alter benö­tigen die Zustim­mung der Eltern, um ein Social-Media-Konto zu eröffnen, wie zum Beispiel bei Face­book, Insta­gram oder Snap­chat. Dies ist bereits in den meisten EU-Ländern üblich. Die neuen flexi­blen Vorschriften räumen den Mitglied­staaten einen Spiel­raum für die Alters­grenzen ein (aller­dings muss diese mindes­tens bei 13 und höchs­tens bei 16 Jahren liegen). Diese Flexi­bi­lität wurde auf den auf den drin­genden Wunsch der Mitglied­staaten beibe­halten. Das Verhand­lungs­team des Parla­ments hätte eine EU-weite Alters­grenze von 13 Jahren vorge­zogen.
  • Recht auf Verges­sen­werden: Die Verbrau­cher sollten ihre Einwil­li­gung geben müssen, aber genauso einfach sollten sie sie auch wieder zurück­ziehen können. Sie bekommen ein „Recht auf Verges­sen­werden“, d. h. ein Recht darauf, dass auf ihren Wunsch ihre persön­li­chen Daten aus den Spei­chern von Unter­nehmen auch wieder gelöscht werden müssen.
  • Daten­lecks oder „gehackte“ Daten: Bei Verstößen gegen den Schutz perso­nen­be­zo­gener Daten müssen die Anbieter die zustän­digen Behörden so schnell wie möglich infor­mieren, sodass die Nutzer geeig­nete Maßnahmen ergreifen können.
  • Verständ­liche Sprache: Die Abge­ord­neten haben darauf bestanden, dass die neuen Vorschriften die Praxis des „Klein­ge­druckten“ abschaffen müssen. Die Verbrau­cher sollen in klarer, verständ­li­cher Sprache und mit leicht verständ­li­chen Symbolen infor­miert werden, bevor die Daten gespei­chert werden.
  • Strafen: Wenn Firmen gegen die Regeln verstoßen, drohen ihnen Strafen von bis zu vier Prozent des Jahres­um­satzes.
  • Unter­nehmen müssen Daten­schutz­be­auf­tragte anstellen: Unter­nehmen müssen einen Daten­schutz­be­auf­tragten benennen, wenn sie im großen Ausmaß sensible Daten verar­beiten oder das Verhalten vieler Verbrau­cher über­wa­chen. KMU sind von dieser Vorschrift ausge­nommen, es sei denn, die Daten­ver­ar­bei­tung ist ihre Haupt­tä­tig­keit.
  • Zentrale Anlauf­stellen für Beschwerden und die Durch­set­zung der neuen Regeln: Die natio­nalen Daten­schutz­be­hörden werden ausge­baut und sollen zu zen­tralen Anlauf­stellen für Bürger werden, wo sie ihre Beschwerden über Verstöße gegen die Daten­schutz­vor­schriften einrei­chen können. Die Zusam­men­ar­beit zwischen diesen natio­nalen Behörden soll erheb­lich verstärkt werden, um einen einheit­li­chen Schutz der perso­nen­be­zo­genen Daten inner­halb der Union sicher­zu­stellen.

US-Unter­nehmen an euro­päi­sches Daten­schutz­recht gebunden

Die Verord­nung verbietet auch weiterhin die Über­mitt­lung von perso­nen­be­zo­genen Daten in Dritt­länder. Als Ausnahme gilt, wenn die Kommis­sion für das Empfän­ger­land eine Ange­mes­sen­heits­ent­schei­dung getroffen hat, die Parteien für ange­mes­sene Garan­tien gesorgt (z. B. über die sog. Stan­dard­ver­trags­klau­seln) haben oder konzern­in­tern sog. Binding Corpo­rate
Rules bestehen.

Zudem dürfen Anfragen von Gerichten oder Behörden von Dritt­län­dern nur dann zu einer Daten­über­mitt­lung führen, wenn dies auf einem Rechts­hil­fe­ab­kommen basiert. Dies wird viele Unter­nehmen vor Probleme stellen, wenn sie z. B. aus den USA sog. pre-trial disco­very requests erhalten.

Fazit

Während einige Stimmen in der neuen Verord­nung eine Bevor­mun­dung des Bürgers sehen, dem die Abgabe einer rechts­wirk­samen Einwil­li­gungs­er­klä­rung durch die geplanten Rege­lungen erheb­lich erschwert wird, loben andere Stimmen die Reform als Meilen­stein im Verbrau­cher­da­ten­schutz. Mit der geplanten Daten­schutz­grund­ver­ord­nung werde endlich der bislang bestehende Flicken­tep­pich an inner­halb Europas bestehenden daten­schutz­recht­li­chen Rege­lungen besei­tigt.

Bei Fragen spre­chen Sie uns gerne an.